راهنمای سخت افزار و امنیت Apache Tomcat

یک راهنمای عملی برای سخت شدن و ایمن سازی سرور Apache Tomcat با بهترین روش ها.


Tomcat یکی از محبوب ترین سرورهای Servlet و JSP Container است. توسط بعضی از وب سایت های پر ترافیک زیر استفاده می شود:

  • LinkedIn.com
  • Dailymail.co.uk
  • Comcast.net
  • Wallmart.com
  • رویترز.com
  • Meetup.com
  • وب سایت

در زیر نمودار موقعیت بازار Tomcat در سرور برنامه جاوا نشان داده شده است.

منبع: Plumbr

از نظر فنی می توانید از Tomcat به عنوان یک سرور جلویی برای ارائه مستقیم درخواست های سایت استفاده کنید. با این حال ، در یک محیط تولید ، ممکن است شما بخواهید از برخی از سرورهای وب مانند Apache ، Nginx به عنوان جلو استفاده کنید تا بتوانید درخواست ها را به Tomcat هدایت کنید..

استفاده از یک سرور وب برای رسیدگی به درخواستها می دهد کارایی و امنیت فواید. اگر از Apache HTTP به عنوان یک وب سرور جلویی استفاده می کنید ، پس باید آن را نیز در نظر بگیرید.

تنظیمات پیش فرض Tomcat ممکن است اطلاعات حساس را در معرض نمایش قرار دهد ، که به هکر کمک می کند تا برای حمله به برنامه آماده شود.

در زیر در Tomcat 7.x ، محیط UNIX تست شده است.

حضار

این برای سرور Middleware ، پشتیبانی برنامه ، تحلیلگر سیستم یا هر کسی که کار یا مشتاق یادگیری سخت شدن و امنیت Tomcat است ، طراحی شده است..

شناخت خوب از Tomcat & دستور UNIX اجباری است.

یادداشت

برای بررسی هدرهای HTTP برای تأیید ، به ابزار دیگری احتیاج داریم. دو روش وجود دارد که می توانید این کار را انجام دهید.

در صورت آزمایش رو به اینترنت سپس می توانید از ابزارهای زیر هدر HTTP برای تأیید اجرای استفاده کنید.

و برای برنامه اینترانت, ممکن است از ابزارهای توسعه دهنده Google Chrome ، Firefox استفاده کنید.

به عنوان بهترین روش ، باید یک مورد را انجام دهید پشتیبان گیری از هر پرونده ای که می خواهید اصلاح کنید.

ما با پوشه نصب Tomcat به عنوان تماس خواهیم گرفت $ tomcat در طول این دستورالعمل ها.

بیایید سخت شدن را طی کنیم & روشهای تضمین.

حذف بنر سرور

حذف سرور بانر از HTTP Header اولین کاری است که به سختی انجام می دهد.

داشتن بنر سرور محصول و نسخه مورد استفاده خود را در معرض نمایش قرار داده و منجر به آسیب پذیری نشت اطلاعات می شود.

به طور پیش فرض ، صفحه ای که توسط Tomcat ارائه شده است مانند این است.

بیایید جزئیات محصول و نسخه را از سرصفحه سرور مخفی کنیم.

  • به پوشه tomcat / conf بروید
  • با استفاده از vi ، server.xml را تغییر دهید
  • موارد زیر را به درگاه اتصال اضافه کنید

سرور = “”

سابق: –

  • پرونده را ذخیره کرده و Tomcat را مجدداً راه اندازی کنید. اکنون ، وقتی به یک برنامه دسترسی پیدا می کنید ، باید یک مقدار خالی برای سرصفحه سرور مشاهده کنید.

شروع Tomcat با یک مدیر امنیتی

مدیر امنیتی شما را از اپلیکیشن غیرقابل اعتماد در مرورگر شما محافظت می کند.

اجرای Tomcat با یک مدیر امنیتی بهتر از دویدن بدون یک است. تامکت دارای اسناد عالی است مدیر امنیتی Tomcat.

نکته خوب در این مورد نیازی به تغییر پرونده پیکربندی نیست. این فقط نحوه اجرای پرونده startup.sh است.

تمام کاری که شما باید انجام دهید اینست که Tomcat را با استدلال امنیت شروع کنید.

[[ایمیل محافظت شده] بن] # ./startup.sh – امنیت
با استفاده از CATALINA_BASE: / opt / tomcat
با استفاده از CATALINA_HOME: / opt / tomcat
با استفاده از CATALINA_TMPDIR: / opt / tomcat / temp
با استفاده از JRE_HOME: / usr
با استفاده از CLASSPATH: /opt/tomcat/bin/bootstrap.jar:/opt/tomcat/bin/tomcat-juli.jar
با استفاده از مدیر امنیتی
تامکت شروع شد.
[[ایمیل محافظت شده] صندوقچه]#

SSL / TLS را فعال کنید

ارائه درخواست های وب از طریق HTTPS برای محافظت از داده ها بین مشتری و Tomcat ضروری است. برای دسترسی به برنامه وب خود از طریق HTTPS ، باید گواهی SSL را پیاده سازی کنید.

به فرض ، شما در حال حاضر keystore را با مجوز آماده کرده اید ، می توانید در زیر قسمت درگاه اتصالی زیر پرونده را در فایل server.xml اضافه کنید.

SSLEnabled ="درست است، واقعی" طرح ="https" keystoreFile ="ssl / bloggerflare.jks" keystorePass ="چانند" clientAuth ="نادرست" sslProtocol ="TLS"

نام فایل و رمز عبور Keystore را با خود تغییر دهید.

اگر به فروشگاه اصلی نیاز به کمک دارید & فرآیند CSR ، سپس به این راهنمای مراجعه کنید.

HTTPS را اجرا کنید

این فقط در صورت فعال بودن SSL قابل اجرا است. اگر نه ، برنامه را خراب می کند.

هنگامی که SSL را فعال کردید ، خوب خواهد بود که برای درخواست ایمن بین کاربر به سرور برنامه Tomcat ، کلیه درخواستهای HTTP را به HTTPS تغییر دهید.

  • به پوشه tomcat / conf بروید
  • web.xml را با استفاده از vi اصلاح کنید
  • قبل از نحو زیر را اضافه کنید

متن محافظت شده
/ *

محرمانه

  • پرونده را ذخیره کرده و Tomcat را مجدداً راه اندازی کنید

امن را اضافه کنید & پرچم Http فقط به کوکی

بدون داشتن یک کوکی ایمن می توانید جلسات برنامه وب و کوکی ها را سرقت یا دستکاری کنید. این پرچمی است که در عنوان پاسخ تزریق می شود.

این کار با اضافه کردن زیر خط در بخش جلسه-پیکربندی پرونده web.xml انجام می شود

درست است، واقعی
درست است، واقعی

تصویر صفحه تنظیمات:

پرونده را ذخیره کنید و Tomcat را مجدداً مجدداً بررسی کنید.

Tomcat را از حساب غیر ممتاز اجرا کنید

خوب است که از یک کاربر غیر ممتاز جداگانه برای Tomcat استفاده کنید. ایده در اینجا این است که از سایر خدمات در حال اجرا در صورت به خطر افتادن هر حساب محافظت کنید.

  • بیایید Tomcat را بگوییم ، یک کاربر UNIX ایجاد کنید

useradd tomcat

  • در صورت اجرا ، Tomcat را متوقف کنید
  • مالکیت Tomcat $ را به Tomcat کاربر تغییر دهید

chown -R tomcat: tomcat tomcat /

Tomcat را شروع کرده و از کار با Tomcat اطمینان حاصل کنید

برنامه های پیش فرض / ناخواسته را حذف کنید

به طور پیش فرض ، Tomcat دارای برنامه های وب زیر است که ممکن است در یک محیط تولید مورد نیاز باشد یا نباشد.

می توانید برای تمیز نگه داشتن آنها و جلوگیری از هرگونه خطر امنیتی شناخته شده با برنامه پیش فرض Tomcat ، آنها را حذف کنید.

  • ROOT – صفحه پیش فرض خوش آمدید
  • اسناد – اسناد Tomcat
  • مثال ها – JSP و سرویس های برای نمایش
  • مدیر ، مدیر میزبان – مدیریت Tomcat

آنها در زیر پوشه tomcat / webapps در دسترس هستند

[[ایمیل محافظت شده] webapps] # ls -lt
drwxr-xr-x 14 tomcat tomcat 4096 سپتامبر 29 15:26 اسناد
drwxr-xr-x 7 tomcat tomcat 4096 29 سپتامبر 15:26 مثال
drwxr-xr-x 5 tomcat tomcat 4096 سپتامبر 29 15:26 میزبان-مدیر
drwxr-xr-x 5 tomcat tomcat 4096 Sep 29 15:26 مدیر
drwxr-xr-x 3 tomcat tomcat 4096 Sep 29 15:26 ROOT
[[ایمیل محافظت شده] webapps] #

پورت و فرمان SHUTDOWN را تغییر دهید

به طور پیش فرض ، tomcat تنظیم شده است که در درگاه 8005 خاموش است.

آیا می دانید با انجام یک telnet به IP: پورت و صدور فرمان SHUTDOWN می توانید نمونه tomcat را خاموش کنید?

Chandans # telnet localhost 8005
تلاش :: 1 … telnet:
اتصال به آدرس :: 1:
اتصال از تلاش 127.0.0.1 خودداری کرد…
به localhost وصل شد.
شخصیت فرار “^]” است.
SHUTDOWN اتصال توسط میزبان خارجی بسته شده است.
Chandans #

خطرناک!

می بینید ، پیکربندی پیش فرض منجر به ریسک امنیتی بالا می شود.

توصیه می شود پورت خاموش کردن tomcat و فرمان پیش فرض را به چیزی غیرقابل پیش بینی تغییر دهید.

  • موارد زیر را در server.xml اصلاح کنید

8005 – تغییر در برخی از درگاه استفاده نشده دیگر

خاموش – تغییر به چیزی پیچیده است

سابق-

صفحه پیش فرض 404 ، 403 ، 500 را جایگزین کنید

داشتن صفحه پیش فرض برای یافتن ، ممنوع ، خطای سرور جزئیات نسخه را افشا می کند.

بیایید به صفحه پیش فرض 404 نگاه کنیم.

برای کاهش ، ابتدا می توانید یک صفحه خطای عمومی ایجاد کرده و از طریق web.xml پیکربندی کنید تا به یک صفحه خطای عمومی تغییر مسیر دهید.

  • به برنامه Tomcat / webapps / $ $ بروید
  • با استفاده از ویرایشگر vi ، یک فایل error.jsp ایجاد کنید

صفحه خطا

آن یک اشتباه است!

  • به پوشه tomcat / conf بروید
  • موارد زیر را در پرونده web.xml اضافه کنید. اطمینان حاصل کنید که قبل از نحو اضافه کنید

404
/error.jsp

403
/error.jsp

500
/error.jsp

  • سرور tomcat را مجدداً آزمایش کنید

خیلی بهتر!

شما می توانید این کار را برای java.lang.Exception نیز انجام دهید. این امر در عدم افشای اطلاعات نسخه Tomcat در صورت وجود استثناء جاوا لانگ کمک می کند.

فقط کافیست موارد زیر را در web.xml اضافه کرده و سرور tomcat را دوباره راه اندازی کنید.

java.lang.Exception
/error.jsp

امیدوارم راهنمای فوق ایده شما را در مورد امنیت Tomcat ارائه دهد. اگر به دنبال کسب اطلاعات بیشتر در مورد مدیریت Tomcat هستید ، این موضوع را بررسی کنید دوره آنلاین.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map